More Related Content Similar to PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych, Maciej Pokorniecki (20) PLNOG16: System zarządzania bezpieczeństwem informacji jako integralny komponent dostarczania usług telekomunikacyjnych, Maciej Pokorniecki1. 1 © Nokia 20161 © Nokia 2016
System zarządzania bezpieczeństwem
informacji jako integralny komponent
dostarczania usług
telekomunikacyjnych
PLNOG 2016
Public
• Maciej Pokorniecki NOKIA Warszawa 1.03.2016
2. 2 © Nokia 20162 © Nokia 2016
Informacje dotyczące moje osoby
Public
• Praca: Serwisy telekomunikacyjne – (migracje/integracje/utrzymanie) od 2005
• Doświadczenie: 10 lat praktycznych doświadczeń z bezpieczeństwem informacji
• Certyfikaty: LA 27001:2013, CEH i kilka innych…
• Pasje: Zarządzanie bezpieczeństwem informacji, Testowanie bezpieczeństwa IT
3. 3 © Nokia 20163 © Nokia 2016
Tematy poruszone podczas prelekcji
Public
• Odpowiedzi na często zadawane pytania
• Czym jest system zarządzania bezpieczeństwem zgodny z ISO27001
• Kilka znanych prawd…
• Referencyjny proces implementacji systemu zarządzania bezpieczeństwem
informacji w zgodności z ISO27001
• Proces zarządzania – jak utrzymać zaimplementowany system
• Podsumowanie
• Pytania i odpowiedzi
4. 4 © Nokia 20164 © Nokia 2016
Częste pytania dotyczące bezpieczeństwa informacji
Public
• Jak rozumiemy bezpieczeństwo informacji w kontekście usług
telekomunikacyjnych?
• Dlaczego bezpieczeństwo informacji staje się integralną
częścią świadczenia usług telekomunikacyjnych? – Dlaczego
ISO27001?
• Czy podejście systemowe zawsze rozwiązuje problem
bezpieczeństwa?
5. 5 © Nokia 20165 © Nokia 2016
Częste pytania dotyczące bezpieczeństwa informacji
Public
• Na jakie kluczowe kwestie należy zwrócić uwagę podczas budowania systemów
bezpieczeństwa informacji?
Dokładne rozumienie mechanizmów zarządzania bezpieczeństwem w organizacji
Szczegółowe zrozumienie wymagań i oczekiwań klientów
Pełne wsparcie i świadomość tematu po stronie kierownictwa organizacji i projektów
Zdefiniowane ścieżki komunikacji pomiędzy wszystkimi zainteresowanymi stronami
Skuteczne mechanizmy pomiaru skuteczności zabezpieczeń
Jasne metody egzekwowania odpowiedzialności
Wybór „bazy standaryzującej” system zarządzania bezpieczeństwem informacji
6. 6 © Nokia 20166 © Nokia 2016
Czym jest system zarządzania bezpieczeństwem
zgodny z ISO27001
Public
7. 7 © Nokia 20167 © Nokia 2016
Czym jest ISO27001
Public
• Standard międzynarodowy bazujący na BS7799 – znany od 1999r – powstał w Wielkiej Brytanii, bazuje
na kanwie systemowej ISO9000
• ISO27001:2013 Jest zbiorem dobrych praktyk - uzupełnionym przez standardy pomocnicze tj: ISO27002
Działania
utrzymania i
zarządzania
systemem
Ustanowienie
systemu
Wykaz
zabezpieczeń –
załącznik A -114
zabezpieczeń
„Bezpieczeństwo
to proces, nie
produkt” Bruce Schneier
8. 8 © Nokia 20168 © Nokia 2016
Czym jest ISO27001
Public
Część stanowiąca
system
Część opisowa wymaganych
zabezpieczeń
• Understanding the organization and its context, the
needs and expectations of interested parties,
Determining the scope of the information security
management system
4 Context of the
organization
• Leadership and commitment, Policy, Organizational roles,
responsibilities and authorities5 Leadership
• Actions to address risks and opportunities, Information
security objectives and planning to achieve them6 Planning
• Resources, Competence, Awareness, Communication,
Documented information7 Support
• Operational planning and control, risk assessment, risk
treatment8 Operation
• Monitoring, measurement, analysis and evaluation,
Internal audit, Management review
9 Performance
evaluation
• Nonconformity and corrective action, Continual
improvement10 Improvement
A.5 Information security policies
A.6 Organization of information security
A.7 Human resource security
A.8 Asset management
A.9 Access control
A.10 Cryptography
A.11 Physical and environmental security
A.12 Operations security
A.13 Communications security
A.14 System acquisition, development and maintenance
A.15 Supplier relationships
A.16 Information security incident management
A.17 Aspects of business continuity management
A.18 Compliance
9. 9 © Nokia 20169 © Nokia 2016
Kilka znanych prawd…
Public
10. 10 © Nokia 201610 © Nokia 2016
Obszary wspierane przez
system zarządzania
bezpieczeństwem informacji
Public
Bezpieczeństwo fizyczne
Bezpieczeństwo
osobowe
Bezpieczeństwo prawne
Bezpieczeństwo
teleinformatyczne
Bezpieczeństwo
procesowe
Informacje
chronione
Poufność
IntegralnośćDostępność
11. 11 © Nokia 201611 © Nokia 2016
Słabości Inteligencja, Wiedza
W poszukiwaniu najsłabszego ogniwa
„Dualność czynnika ludzkiego…”
Public
12. 12 © Nokia 201612 © Nokia 2016
Istota poszukiwania balansu
Public
? ?
Zasada (Pareto)
Poziom
bezpieczeństwa
Poziom
kosztów
Bezpieczeństwo „idealne”
„Umowne
optimum”
13. 13 © Nokia 201613 © Nokia 2016
Referencyjny proces implementacji systemu
zarządzania bezpieczeństwem informacji w
zgodności z ISO27001
Public
14. 14 © Nokia 201614 © Nokia 2016
Referencyjny proces implementacji systemu zarządzania
Public
1. Uzyskanie
wsparcia
kierownictwa
2. Zapoznanie się z
wymaganiami
3. Określenie zakresu
i celów wdrożenia
4. Wykonanie analizy
„słabych stron”
5. Przygotowanie mapy
wymagania – istniejące
zabezpieczenia
6. Stworzenie
„deklaracji
stosowania”
7. Wykonanie analizy
ryzyka
8. Wybór strategii
postępowania z
ryzykiem
9. Wdrożenie
zabezpieczeń i
dokumentacji
10. Weryfikacja i
walidacja sytemu –
„audyt”
P
DC
A
Wewnętrzne
Zewnętrzne
Prawne, branżowe
Uzyskanie dostępu do
odpowiednich
zespołów
Pełna znajomość
wymagań klientów
Akceptacja planów
przez właścicieli
systemów docelowych
Opracowana i
zaakceptowana
metodologia analizy ryzyka
Implementacja
systemów GR&C
(Governance,
Risk&Compliance)
Audyty wewnętrzne,
stron trzecich,
certyfikacyjne
Wsparcie kierownictwa
doskonała znajomość
struktur organizacji
15. 15 © Nokia 201615 © Nokia 2016
Proces utrzymania systemu
Public
1. Stałe
monitorowanie
wymagań
2. Stałe
monitorowanie
skuteczności
systemu
3. Kontrola planów
przeciwdziałania
4. Stały proces
analizy ryzyka
5. Korekcja i
aktualizacja
dokumentacji
6. Wykonywanie
przeglądów
kierowniczych
7. Audyty
wewnętrzne
8. Audyty
zewnętrzne
P
DC
A
Zdefiniowane metryki i
mechanizmy pomiarowe
Wdrażanie planów w
indywidualnych
projektach
Monitorowanie
podatności i zagrożeń
dobór strategii
postępowania
Konieczność stałego
zaangażowania
kierownictwa organizacji
Samoocena oraz
wewnętrzne audyty
niezależne
Audyty: certyfikujące,
kontrolne,
recertyfikujące
16. 16 © Nokia 201616 © Nokia 2016
Podsumowanie
Public
• Bezpieczeństwo – konieczność, nie opcja
• Dlaczego w większości przypadków wystarcza zgodność vs. certyfikacja
• Dynamiczne zarządzanie bezpieczeństwem kluczem do ochrony informacji
• Synergia procesów dostarczania usług i systemów zarządzania
bezpieczeństwem
• Komunikacja podstawą sukcesu
• Stawiaj na świadomość
17. 17 © Nokia 201617 © Nokia 2016 Public
Pytania i
odpowiedzi
Editor's Notes PCI-DSS - The Payment Card Industry Data Security Standard
SoX - The Sarbanes–Oxley Act of 2002 (Pub.L. 107–204, 116 Stat. 745, enacted July 30, 2002)
CMMI - Capability Maturity Model Integration (CMMI) is a process improvement training and appraisal program and service administered and marketed by Carnegie Mellon University (CMU) and required by many DoD and U.S. Government contracts, especially in software development.
Magic Quadrant for Enterprise Governance, Risk and Compliance Platforms - http://www.citia.co.uk/content/files/magic-quadrant-for-enterprise-governance-risk-and-compliance-platforms-2012_70384698.pdf